V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gilbertwang
V2EX  ›  信息安全

一般的风控系统能识别到哪些客户端风险?

  •  
  •   gilbertwang · 2022-07-14 09:34:00 +08:00 · 1925 次点击
    这是一个创建于 868 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在学习风控这方面的相关知识,一般来说风控系统能识别到哪些客户端风险?另外想请教下如果要构建一个比较完整的风控体系,需要包含哪些?

    6 条回复    2022-10-11 19:35:53 +08:00
    zenxds
        1
    zenxds  
       2022-07-14 09:55:35 +08:00
    Web 端的话,可以通过 JS 判断出客户端是否开启了调试器、模拟器,是否禁用 cookie 和其他存储,是否篡改了 platform/userAgent/屏幕分辨率等,是否 hook 了某些 API ,是否伪造浏览器 /OS ,是否开启代理等

    APP 端的话不太了解,我知道的有越狱、多开、模拟器、调试啥的

    完整的风控体系概念就大了,需要客户端上有设备指纹技术,加固 /混淆方案,验证码人机识别,后台有风控策略、决策系统,一般公司自研应该是很难的,国内有一些安全厂商是做这个的,可以去了解一下
    Felldeadbird
        2
    Felldeadbird  
       2022-07-14 11:32:24 +08:00
    去 github 搜索风控,有不少大牛整理过的这些笔记。 要系统学习风控,还是得有平台实践一次,跑路才行。
    Alekseyevich
        3
    Alekseyevich  
       2022-07-14 14:08:08 +08:00
    实际识别的风险主要看风险防控策略的维度是否丰富,单纯说风控系统的话常见的什么注册、登录、薅羊毛风险都可以防的。
    MagicDeen
        4
    MagicDeen  
       2022-07-14 14:18:45 +08:00
    设备是否越狱、Root 等高危风险,以及各类改机框架软件啊什么的,挺多风险点的。不过主要还是要靠背后的决策引擎来做风险判断
    YouKnowIt
        5
    YouKnowIt  
       2022-07-25 19:03:55 +08:00
    风控 = 数据 + 算法。优先级 数据 >> 算法,数据保证风控系统下限,算法提高上限。上面几个大佬说的,web 端的各种判断,移动端的各种检测等统称为数据。另外风控系统是分层,waf --> 反爬 --> 反作弊
    guguji
        6
    guguji  
       2022-10-11 19:35:53 +08:00
    风控整体非常复杂,最近也在尝试总结 [从 0 到 1 智能风控决策引擎构建]( https://mp.weixin.qq.com/s/JW_vEqjxNhDNySYVAT6j5A) ,欢迎指教。

    设备类的风险其实只是前端的一小部分防控,现在基本依托于设备指纹 SDK 采集设备,防控包括不限于:
    - Root/越狱
    - 多开
    - 虚拟机
    - 云真机

    感兴趣可以的话我也会在后续文章写一篇介绍,还是要结合 用户的 UBT 效果比较好。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3157 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 13:59 · PVG 21:59 · LAX 05:59 · JFK 08:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.